このガイドでは、Vertex AI リソースの Private Service Connect インターフェースを設定する方法について説明します。
Vertex AI の特定のリソース(次のリソースなど)に Private Service Connect インターフェース接続を構成できます。
VPC ピアリング接続とは異なり、Private Service Connect インターフェース接続は推移的であるため、コンシューマ VPC ネットワークで必要な IP アドレスが少なくなります。これにより、Google Cloud プロジェクト内の他の VPC ネットワークへの接続の柔軟性が向上します。
このガイドは、Google Cloud のネットワーキングのコンセプトに精通しているネットワーク管理者を対象としています。
目標
このガイドでは、次のタスクについて説明します。
- プロデューサー VPC ネットワーク、サブネット、ネットワーク アタッチメントを構成します。
- Google Cloud ネットワーク ホスト プロジェクトにファイアウォール ルールを追加します。
- PSC-I を使用するネットワーク アタッチメントを指定して Vertex AI リソースを作成します。
始める前に
次の手順で Google Cloud プロジェクトを作成または選択し、Vertex AI と Private Service Connect で使用するように構成します。
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Update and install
gcloud
components:gcloud components update
gcloud components install beta -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Update and install
gcloud
components:gcloud components update
gcloud components install beta - プロジェクト オーナーではなく、プロジェクト IAM 管理者(
roles/resourcemanager.projectIamAdmin
)ロールがない場合は、ネットワーク リソースを管理するために必要なロールが含まれる Compute ネットワーク管理者(roles/compute.networkAdmin
)ロールを付与するようオーナーに依頼してください。 - Vertex AI Training サービスを使用しているプロジェクトの AI Platform サービス エージェント アカウントに、ネットワーク ホストの Google Cloud プロジェクトの Compute ネットワーク管理者ロールを割り当てます。
VPC ネットワークとサブネットを設定する
このセクションでは、他の VPC ネットワークとピアリングされていない限り、既存の VPC ネットワークを使用できます。次の構成手順は、既存の VPC ネットワークがない場合にのみ必要です。
-
gcloud compute networks create NETWORK \ --subnet-mode=custom
NETWORK は、VPC ネットワークの名前に置き換えます。
-
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGION
次のように置き換えます。
- SUBNET_NAME: サブネットの名前。
PRIMARY_RANGE: 新しいサブネットのプライマリ IPv4 範囲(CIDR 表記)。詳細については、IPv4 サブネットの範囲をご覧ください。
Vertex AI は、必須の PRIMARY_RANGE で指定された RFC 1918 範囲にのみ到達できます。有効な RFC 1918 範囲の一覧については、有効な IPv4 範囲をご覧ください。Vertex AI は、次の RFC 1918 以外の範囲に到達できません。
100.64.0.0/10
192.0.0.0/24
192.0.2.0/24
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
240.0.0.0/4
REGION: 新しいサブネットが作成される Google Cloud リージョン。
ネットワーク アタッチメントを作成し、プロジェクトにファイアウォール ルールを追加する
接続を手動で受け入れるネットワーク アタッチメントを作成します。
gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ --subnets=SUBNET_NAME
NETWORK_ATTACHMENT_NAME は、ネットワーク アタッチメントの名前に置き換えます。
ポート 22 経由の TCP トラフィックを許可するファイアウォール ルールを作成します。
gcloud compute firewall-rules create NETWORK-firewall1 \ --network NETWORK \ --allow tcp:22
ポート 3389 を介した TCP トラフィックを許可するファイアウォール ルールを作成します。
gcloud compute firewall-rules create NETWORK-firewall2 \ --network NETWORK \ --allow tcp:3389
ICMP トラフィックを許可するファイアウォール ルールを作成します。
gcloud compute firewall-rules create NETWORK-firewall3 \ --network NETWORK \ --allow icmp
次のステップ
- Ray on Vertex AI で Private Service Connect インターフェース下り(外向き)を使用する方法を学習する。
- カスタム トレーニングに Private Service Connect インターフェースの下り(外向き)接続を使用する方法を学習する。
- Vertex AI Pipelines で Private Service Connect インターフェース下り(外向き)を使用する方法について学習します。